Résolution des problèmes de connectivité et d'enregistrement avec AMP sur FireSIGHT Management Center

Options de téléchargement

  • PDF     (287.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:23 juillet 2021
ID du document:118290

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Un FireSIGHT Management Center de votre déploiement peut se connecter au cloud Cisco. Après avoir configuré FireSIGHT Management Center pour la connexion au cloud, vous pouvez recevoir des enregistrements des analyses, des détections de programmes malveillants et des quarantaines. Les enregistrements sont stockés dans la base de données FireSIGHT Management Center en tant qu'événements de programme malveillant. Par défaut, le cloud envoie des événements de programmes malveillants pour tous les groupes de votre organisation, mais vous pouvez restreindre par groupe lorsque vous configurez la connexion. Ce document traite de divers problèmes et étapes de dépannage liés à la fonction Advanced Malware Protection (AMP) d'un FireSIGHT Management Center.

Le port ou le serveur est bloqué dans le pare-feu

Si un FireSIGHT Management Center ne parvient pas à se connecter à la console FireAMP Cloud ou ne reçoit pas d'événements de programme malveillant, vous devez vérifier si les ports requis sont bloqués par le pare-feu. FireSIGHT Management Center utilise le port 443 pour recevoir les événements de programmes malveillants basés sur les terminaux à partir de la console FireAMP. Le port 32137 est requis pour que les appliances FirePOWER puissent effectuer des recherches de programmes malveillants dans le cloud Cisco.

Pour en savoir plus sur les numéros de port et les adresses de serveur requis, lisez les documents suivants :

Adresse MAC utilisée

Symptôme 

Lorsque vous tentez d'enregistrer un FireSIGHT Management Center sur un cloud privé et que vous effectuez la connexion initiale, vous pouvez recevoir un message indiquant que l'adresse MAC est déjà utilisée.

Motif

Lorsqu'un FireSIGHT Management Center est remplacé en raison d'une défaillance matérielle et que l'unité de remplacement n'est pas correctement désinscrite du cloud, vous pouvez rencontrer ce problème.

Solution

Avant de remplacer une appliance, vous devez annuler l'enregistrement de FireSIGHT Management Center à partir du cloud FireAMP. Vous devez également supprimer FireSIGHT Management Center du cloud FireAMP. Cela empêche qu’une adresse MAC soit perçue comme étant en cours d’utilisation.

Conseil : Lisez ce document pour connaître le processus détaillé de désinscription d'une appliance du cloud FireAMP et de suppression d'un cloud du centre de gestion FireSIGHT.

Erreur générale/inconnue s'affiche

Symptôme 


Un message d'erreur s'affiche lors de la connexion d'un FireSIGHT Management Center réimagé ou de remplacement à une console FireAMP. Il affiche une erreur générale/inconnue.

Lorsque le message d'erreur General/unknown apparaît, l'état de la connexion FireAMP sur FireSIGHT Management Center devient critique. L'interface Web affiche une icône rouge.

Motif

Ce problème se produit lorsqu'une adresse MAC d'un FireSIGHT Management Center, qui vient d'être recréée ou remplacée, est toujours enregistrée sur une console FireAMP.

Solution

Avant de réinstaller ou de remplacer une appliance, vous devez annuler l'enregistrement de FireSIGHT Management Center à partir de FireAMP Cloud. Vous devez également supprimer FireSIGHT Management Center du cloud FireAMP. Cela empêche qu’une adresse MAC soit perçue comme étant en cours d’utilisation.

Conseil : Lisez ce document pour connaître le processus détaillé de désinscription d'une appliance du cloud FireAMP et de suppression d'un cloud du centre de gestion FireSIGHT.

Impossible de sélectionner un cloud

Symptôme 

Lors de la création d'une connexion entre FireSIGHT Management Center et la console cloud FireAMP, aucune option n'est disponible pour les clouds US ou EU.

Motif

Ce problème se produit lorsqu'un FireSIGHT Management Center ne parvient pas à résoudre le nom d'hôte api.amp.sourcefire.com.

Afin de vérifier le problème, effectuez une nslookup sur l'interface de ligne de commande de FireSIGHT Management Center. Vérifiez si les paramètres DNS sont correctement configurés sur FireSIGHT Management Center :

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com

Le résultat suivant s'affiche lorsque DNS ne parvient pas à résoudre le nom d'hôte sur FireSIGHT Management Center :

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com

Server:         192.168.45.2
Address:        192.168.45.2#53
 
** server can't find api.amp.sourcefire.com

Le résultat ci-dessous indique si le DNS est correctement résolu sur FireSIGHT Management Center :

admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com
Server:         192.168.45.1
Address:        192.168.45.1#53
 
Non-authoritative answer:
api.amp.sourcefire.com
Name:   xxxx.xxxx.xxxx
Address: xx.xx.xx.xx

Solution

  • Si FireSIGHT Management Center ne parvient pas à résoudre le nom d'hôte, vous devez vérifier si les paramètres DNS du Management Center sont corrects.
  • Si un FireSIGHT Management Center est capable de résoudre le nom d'hôte, mais ne parvient pas à accéder à api.amp.sourcefire.com via un pare-feu, vérifiez les règles et paramètres du pare-feu.

Lors du processus de création de la connexion, si FireSIGHT Management Center ne parvient pas à résoudre le nom d'hôte, le message d'erreur suivant est consigné dans le httpsd_error_log :

Error attempting curl for FireAMP: System

Par exemple, la sortie de journal suivante montre que le Centre de défense n'a pas terminé la commande curl à api.amp.sourcefire.com :

admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log

[Thu Jul 18 12:38:13.433765 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1778., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:14.338174 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: /usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7491., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:24.352374 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: Error attempting curl for FireAMP: System (/usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds) Failed at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7499., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:24.352432 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: No cloud data returned at /usr/local/sf/lib/perl/5.10.1/SF/FireAMP.pm line 145., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:24.352478 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: getCloudData completed... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/

Lors du processus de création de la connexion, si le message suivant est consigné dans httpsd_error_log sans erreur, il indique que FireSIGHT Management Center est en mesure de résoudre le nom d'hôte :

getCloudData completed

Par exemple, le résultat suivant montre qu'un Management Center exécute une commande curl vers api.amp.sourcefire.com :

admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log

[Thu Jul 18 12:42:54.949461 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1778., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:42:55.856432 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: /usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7491., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:42:55.931106 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData completed... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/

Historique de révision

Révision Date de publication Commentaires
1.0
14-Aug-2014
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Nazmul Rajib
    Ingénieur TAC Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits